1
安装
相关安装见:
Windows/MacOS/Linux版本IDA Pro 9.1安装教程 | 曙光's Blog
百度网盘,下载安装程序后,导入keygen.py程序,运行后生成libida.dylib.patched与libida32.dylib.patched,删除替换新的。
之后自己打开出现问题:代码签名无效,可能是Mac的验证机制更严格,询问GPT,文件临时签名,能成功打开:
sudo codesign --force --sign - "/Applications/IDA Professional 9.1.app/Contents/MacOS/libida.dylib"
使用
分析恶意ELF后门程序,使用IDA一打开是代码的逻辑结构图,F5查看反编译的源代码
桌面建立程序同名的后缀为id0,1,2,nam,til的文件,还以为是中毒,吓一跳:
存储反汇编信息(如指令、函数)等核心分析数据。
存储结构体、注释、名称、段信息等数据。
存储临时缓存、自动分析的中间结果等,可重建。
命名数据库,存储手动命名的函数、变量名等(老版本常见)。
类型库文件(Type Library),用于支持标准函数原型识别。
IDA打开应用程序时,会为其创建一个数据库,后缀为IDB。IDB由4个文件组成:
- 后缀为id0的二叉树形式的数据库,
- 后缀为id1的程序字节标识,
- 后缀为nam的Named窗口的索引信息,
- 后缀为til的给定数据库的本地类型定义的相关信息。
逆向的手艺以后也不能拉下,现在直接看网上的博客也看不明白